【转】java基于token验证之登陆验证

转自博客 https://blog.csdn.net/weixin_39102174/article/details/90411116

以上博主讲的更清除些，此博客是为了自己加深记忆。

对于前后端分离的项目来说session来判断是否登陆实现比较困难，token是比较好的方式。

大概流程：

1.用户登陆，若成功则后台生成一个token，并把此token返回给客户端浏览器

2.客户端接收到token后，每次请求都要把此token放到header中发给后段

3.后段使用拦截器判断token的正确性和实效性。

以下是具体代码：

Token工具类：

package com.sign;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class TokenSign {
/**
* 过期时间60分钟
*/
private static final long EXPIRE_TIME=60 * 60 *1000;
/**
* 私钥，使用它生成token，最好进行下加密
*/
private static final String TOKEN_SECRET="Token";
/**
* 产生token
* @param useName
* @param userId
* @return
*/
public static String sign(String useName,String userId){
try{
//设置15分钟失效
Date date=new Date(System.currentTimeMillis()+EXPIRE_TIME);
//私钥及加密算法
Algorithm algorithm=Algorithm.HMAC256(TOKEN_SECRET);
//设置头部信息
Map<String,Object> header=new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//附带username和userid信息,存储到token中，生成签名
return JWT.create()
.withHeader(header)
//存储自己想要留存给客户端浏览器的内容
.withClaim("userName",useName)
.withClaim("userId",userId)
.withExpiresAt(date)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace();
}
return null;
}
/**
* token校验是否正确
* @param token
* @return
*/
public static boolean verify(String token){
try {
Algorithm algorithm=Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier =JWT.require(algorithm).build();
//此方法若token验证失败会抛错的，所以直接return true没问题
DecodedJWT decodedJWT =verifier.verify(token);
return true;
}catch (Exception e){
e.printStackTrace();
}
return false;
}
/**
* 获取token中信息 userName
* @param token
* @return
*/
public static String getUsername(String token) {
try {
DecodedJWT jwt = JWT.decode(token);
return jwt.getClaim("userName").asString();
} catch (JWTDecodeException e) {
e.getStackTrace();
}
return null;
}
/**
* 获取token中信息 userId
* @param token
* @return
*/
public static String getUserId(String token) {
try {
DecodedJWT jwt = JWT.decode(token);
return jwt.getClaim("userId").asString();
} catch (JWTDecodeException e) {
e.getStackTrace();
}
return null;
}
}

拦截器：

package com.interceptor;
import com.alibaba.fastjson.JSONObject;
import com.constant.TokenConstant;
import com.sign.TokenSign;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;
@Component
public class LoginInterceptor implements HandlerInterceptor {
// 在请求处理之前调用,只有返回true才会执行要执行的请求
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
httpServletResponse.setCharacterEncoding("UTF-8");
String token=httpServletRequest.getHeader("accessToken");
if (null==token){
Map<String,Object> map=new HashMap<>();
map.put("data","token is null");
map.put("code","401");
httpServletResponse.getWriter().write(JSONObject.toJSONString(map));
return false;
}else {
boolean result= TokenSign.verify(token);
if (result){
//更新存储的token信息
TokenConstant.updateTokenMap(token);
return true;
}
Map<String,Object> map=new HashMap<>();
map.put("data","token is null");
map.put("code","401");
httpServletResponse.getWriter().write(JSONObject.toJSONString(map));
return false;
}
}
// 试图渲染之后执行
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
// 在请求处理之后,视图渲染之前执行
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}

package com.constant;
import java.util.HashMap;
import java.util.Map;
public class TokenConstant {
private static Map<String,String> map=new HashMap();
public static String getToken(){
return map.get("token");
}
public static void updateTokenMap(String token){
map.put("token",token);
}
}

注册拦截器：

package com.adapter;
import com.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class LoginAdapter implements WebMvcConfigurer {
//解决跨域问题
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedHeaders("Content-Type","X-Requested-With","accept,Origin","Access-Control-Request-Method","Access-Control-Request-Headers","token")
.allowedMethods("*")
.allowedOrigins("*")
//是否允许使用cookie
.allowCredentials(true);
}
@Autowired
private LoginInterceptor loginInterceptor;
// 这个方法是用来配置静态资源的，比如html，js，css，等等
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
}
// 这个方法用来注册拦截器，我们自己写好的拦截器需要通过这里添加注册才能生效
@Override
public void addInterceptors(InterceptorRegistry registry) {
System.out.println("进入拦截器");
//addPathPatterns是表明拦截哪些请求
//excludePathPatterns是对哪些请求不做拦截
registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns("/user/login");
}
}

以上是后台的配置,除了登陆所有请求都会进行token验证。

前端代码概要：

前端用的VUE

<template>
<div class="login">
<div class="welcome"><img src="/dist/static/image/welcome.png"></div>
<div class="login-form">
<div class="login-inp"><label>账号</label><input type="text" placeholder="请输入账号" v-model="user.account"></div>
<div class="login-inp"><label>密码</label><input type="password" placeholder="请输入密码" v-model="user.password"></div>
<div class="login-inp" v-show="!loadingShow" v-on:click="ok()">
<input type="button" value="立即登录" />
</div>
</div>
<wv-loadmore v-show="this.loadingShow"></wv-loadmore>
</div>
</template>
<script>
import Vue from ‘vue‘;
import Axios from ‘axios‘
import { Toast } from ‘we-vue‘
export default {
name: ‘Login‘,
data: function () {
return {
user: {account: ‘‘, password: ‘‘},
show: false,
url:this.GLOBAL.loginUrl,
isDisable:false,
loadingShow:false
}
},
methods: {
ok: function () {
if (!this.user.account || !this.user.password) {
// Toast.loading(‘加载中‘);
Toast.text(‘请完善登陆信息‘);
console.log(‘param not allow null‘)
return
};
this.isDisable=true;
this.loadingShow=true;
setTimeout(() => {
Axios.post(this.url,
this.user,
{ //方式2通过transformRequest方法发送数据，本质还是将数据拼接成字符串
transformRequest:[
function(data){
let params=‘‘;
for(let index in data){
params+=index+‘=‘+data[index]+‘&‘;
}
return params;
}
]
})
.then(response => {
if (response.data) {
//存储token
localStorage.setItem(‘accessToken‘, response.data);
this.$router.push({ path: ‘home‘ })
}else {
Toast.fail(‘登陆失败‘);
console.log(‘登陆失败：‘, response.data.message)
}
this.loadingShow=false;
this.isDisable=false;
})
.catch(error => {
Toast.fail(‘请求失败‘);
console.log(‘请求失败：‘, error)
this.loadingShow=false;
this.isDisable=false;
})
}, 1000)
},
cancel: function () {
this.show = false
this.$emit(‘cancel‘, this.flowParam)
}
}
}
</script>

登陆界面最主要的是：localStorage.setItem(‘accessToken‘, response.data);把token信息存储

每次请求都放到header中：

此处简写：

Axios.post(this.addUrl,param,
{headers: {‘Content-Type‘:‘application/json;charset=UTF-8‘,‘accessToken‘:localStorage.getItem(‘accessToken‘)}},
{method: ‘put‘}
).then(response => {

localStorage.getItem(‘accessToken‘)；获取存储在localStorage中的token信息

原文地址：https://www.cnblogs.com/EarlyBridVic/p/12532658.html

时间： 2024-07-31 12:09:22

【转】java基于token验证之登陆验证的相关文章

WebApi基于Token和签名的验证

最近一段时间在学习WebApi,涉及到验证部分的一些知识觉得自己并不是太懂,所以来博客园看了几篇博文,发现一篇讲的特别好的,读了几遍茅塞顿开(都闪开,我要装逼了),刚开始读有些地方不理解,所以想了很久,因此对原文中省略的部分这里做一点个人的理解和补充,非常基础,知道的园友就不需要了,只是帮助初次学习的园友理解.原文传送门: http://www.cnblogs.com/MR-YY/p/5972380.html#!comments 本篇博文中的所有代码均来自上述链接,如果你觉得有帮助,请点击链接给

Java实现token的生成与验证-登录功能

一.token与cookie相比较的优势1.支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的: 2.无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session: 3.无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可: 4.更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支

JAVA中的Token 基于Token的身份验证

来源:转载最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程中发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求的SessionId,导致服务器每次接收安卓发送的请求访问时都新建一个Session进行处理,无法通过传统的绑定Session来进行保持登录状态和通讯状态. 基于传统方法无法判断安卓的每次请求访问状态,故查询资料了解到Token,特殊的身份证验证.以下是网上搜寻资料所得,作为学习总结资料. 令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他

App登陆java后台处理和用户权限验证

最近做一个app项目,后台我独自一人开发,开发任务顺序安排上没有把登陆,注册和权限验证这些基本功能放在第一阶段开发,现在是部分业务相关功能已经完成,但是用户入口竟然还没有,只能说明当初需求分析的时候还是太过于着急了,把最基本的用户入口给放到后面了. 现在就需要在现有代码的基础上添加用户登录和权限验证功能. 关于登录和权限验证方面,参照以前做iOS的开发经验,App端提供用户名和密码换取token,每次通过换取的token请求需要登陆权限的操作. 现在反过来,我就需要考虑下面几个问题: 1.在现有

基于Token的身份验证——JWT(转)

本文转自:http://www.cnblogs.com/zjutzz/p/5790180.html 感谢作者初次了解JWT,很基础,高手勿喷.基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session. JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分怎样生成A? header格式为: { "typ

WebApi_基于Token的身份验证——JWT(z)

基于Token的身份验证——JWT JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分怎样生成A? header格式为: { "typ": "JWT", "alg": "HS256" } 它就是一个json串,两个字段是必须的,不能多也不能少.alg字段指定了生成C的算法

java web程序登陆验证页面 4个页面人性化设置

到这里,快期末考试了,老师不讲课,我心里有苦不想说,也许没有考虑到老师的感受,让老师难堪了但是我的行为已不再是我可以做的了.不可能了,我只是职业性的机械的做事了. 思路: 1.第一个是form表单,用户输入用户名和密码,点击登陆按钮 a.jsp 2.第二是验证页面,如果不是那个用户名和密码,则显示登陆失败或错误,点击链接重新登陆ok.jsp d.jsp 3.当用户为输入任何数据,即为空的时候,则提示用户先登录,c.jsp 第一个页面,就不写了验证页面 ok.jsp ? 1 2 3 4 5 6

【Java EE 学习第70天】【数据采集系统第二天】【数据加密处理】【登陆验证】【登陆拦截器】【新建调查】【查询调查】

一.数据加密处理这里使用MD5加密处理,使用java中自带加密工具类MessageDigest. 该类有一个方法digest,该方法输入参数是一个字符串返回值是一个长度为16的字节数组.最关键的是需要将这个16位的字节数组转换成为32位的字符串,转换方法是使用位移+与运算.将高四位移到低四位&0X0F得到一个字符,直接使用该值&0X0F得到一个字符,这样一个8bit的字节就能够拆成2个字符.最终16Byte就能够转换成为32个字符. 1 package com.kdyzm.utils;

基于 Token 的身份验证方法

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录.大概的流程是这样的: 客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端